Ny afgørelse: Brud på persondatasikkerheden hos Dantherm

Dato: 13-10-2021

Datatilsynet har udtalt kritik af, at Dantherm ikke havde passende sikkerhed. Virksomheden kunne heller ikke påvise, at behandlingen havde været i overensstemmelse med reglerne.

Datatilsynet har truffet afgørelse i en sag, hvor Dantherm havde anmeldt et brud på persondatasikkerheden til tilsynet.

Dantherm havde været udsat for et ransomwareangreb, hvor det lykkedes hackere at få adgang til Dantherms it-miljø, hvorfra hackerne lækkede oplysninger om nuværende og tidligere ansatte til the dark web.

Hackerne har sandsynligvis fået adgang via brugeren ”AV” som havde administratorrettigheder. Brugerkontoen havde tidligere været brugt af en ekstern konsulent, som ikke burde have adgang på tidspunktet for angrebet. Hackerne slettede de fleste af logfilerne. Dantherm kunne derfor ikke svare på, hvorvidt kontoen ”AV” havde været aktiv eller deaktiveret.

Datatilsynet udtalte, at administrative rettigheder alene skal give adgang til relevante begrænsede ressourcer (computere, aktive enheder, programmer, services eller lignende), og der skal sikres logning af al brug af rettighederne. Logfilerne skal derfor gemmes på en sådan måde, at brugerne med de administrative rettigheder ikke kan lukke ned for, slette eller ændre i loggen.

Manglende sikkerhedsforanstaltninger 

Datatilsynet fandt, at Dantherms behandling af personoplysninger ikke havde været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet lagde ved vurderingen vægt på, at Dantherm ikke havde sikret, at brugere med administratorrettigheder ikke kunne slette eller ændre logfilerne.

Herudover fandt Datatilsynet, at Dantherm ikke havde levet op til kravet om, at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandlingen af personoplysninger. Datatilsynet lagde i den forbindelse vægt på, at Dantherm ikke kunne dokumentere i hvilke perioder ”AV” kontoen var aktiv.  

På den baggrund fandt Datatilsynet grundlag for at udtale kritik af, at Dantherms behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesreglerne.

Sagen indeholdt såkaldt grænseoverskridende behandling af personoplysninger, da medarbejdere i bl.a. Tyskland, Polen og England også var berørt af bruddet. Datatilsynet har derfor truffet afgørelse som ledende tilsynsmyndighed efter ”one-stop-shop-mekanismen”.

Du kan læse selve afgørelsen her.

Læs også om behandlingssikkerhed her.

 

Hvad er one-stop-shop-mekanismen?

One-stop-shop-mekanismen går ud på, at det som udgangspunkt er tilsynsmyndigheden i det land, hvor den dataansvarlige har sin hovedetablering (den ledende tilsynsmyndighed), som kan tage stilling til, om den dataansvarlige har overtrådt databeskyttelsesreglerne.

Læs mere her.